10.07.2017

Rosja: weszła w życie ustawa o zwiększeniu odpowiedzialności w przypadku naruszenia przepisów dotyczących ochrony danych osobowych

Dnia 01.07.2017 w Federacji Rosyjskiej weszły w życie liczne zmiany ustawy o wykroczeniach, które znacząco poszerzają listę naruszeń podlegających grzywnie odnośnie przetwarzania danych osobowych.

Zmiana dotyczy art. 13.11 ustawy o wykroczeniach, która wcześniej stanowiła o odpowiedzialności za jedno istotne naruszenie względem przetwarzania danych, a mianowicie o naruszeniu ustawowo określonej procedury gromadzenia, zapisywania, użytkowania i przetwarzania danych osobowych. Skutki tego typu naruszenia sięgały dla danego przedsiębiorstwa od oficjalnego upomnienia aż po karę grzywny w wysokości 10 000 rubli.

Zmieniony art. 13.11 dywersyfikuje i rozszerza stan faktyczny objęty odpowiedzialnością. Wprowadza on siedem ogólnych grup naruszeń w kontekście danych osobowych, które to grupy są następnie podzielone na mniejsze.

Pięć z tych siedmiu grup z art. 13.11 dotyczy szczególnego sprawcy, podmiotu przetwarzającego dane osobowe. Zgodnie z Ustawą nr 152-FZ z dnia 27.07.2006 o danych osobowych, przetwarzającym dane są wszelkie korporacje państwowe, lokalne, firmy i osoby fizyczne, które zarówno samodzielnie, jak i wspólnie z inną osobą w sposób zorganizowany przetwarzają bezpośrednio dane osobowe, oraz ci, którzy określają powód przetwarzania danych, ustalają dane do przetworzenia, jak i sposób ich przetwarzania.

Należy zwrócić szczególną uwagę na odpowiedzialność jednostki przetwarzającej dane osobowe za nieudostępnianie osobom trzecim jej wytycznych o ochronie danych osobowych, o czym wyraźnie mówi ustawa. Obowiązek opracowania i upublicznienia wytycznych o ochronie danych osobowych został umieszczony w art. 18.1 Ustawy o danych osobowych.

Odpowiedzialność istnieje również w przypadku przetwarzania danych bez pisemnej zgody osoby, której dotyczą, o ile istnieje obowiązek wyrażenia takiej zgody w formie pisemnej, oraz w przypadku nieuwzględniania zapytań osób w kontekście przetwarzania oraz procesów przetwarzania ich danych osobowych. Tytuł określa poza tym odpowiedzialność za ogólne naruszenie, o ile przetwarzanie danych nie jest przeprowadzane w sposób przewidziany ustawą.

Zmieniony art. 13.11 znacznie podnosi kwoty kar grzywny za naruszenie przepisów o przetwarzaniu danych osobowych. Najwyższa kwota sięga obecnie 75 000 rubli za określone naruszenia.

Pragniemy ponadto zwrócić uwagę, iż wdrożenie zmian w ustawie wiąże się bezpośrednio z polityką państwa odnośnie poszerzenia i intensyfikacji prac nad regulacjami w zakresie ochrony danych osobowych i ogólnie technologii informacyjnej. Intensywnie dyskutowana Ustawa nr 242 SZ z dnia 31.12.2014 wprowadziła wcześniej dla jednostek przetwarzających dane zobowiązanie do zapisywania danych osobowych obywateli rosyjskich w Federacji Rosyjskiej. Ustawa ta obowiązuje od dnia 01.09.2015.

Znaczenie tej zmiany jest tym większe, że Ustawa o ochronnie danych osobowych w pewnym stopniu dotyczy prawie każdej firmy, niezależnie od profilu i jej wielkości.

Z drugiej zaś strony firmy, które dysponują wewnętrznymi uregulowaniami dotyczącymi przetwarzania danych osobowych, powinny owe wewnętrzne uregulowania w sposób staranny sprawdzić, aby zapewnić ich zgodność z nowymi uregulowaniami i aby zminimalizować ryzyko, które mogłoby wystąpić podczas kontroli Roskomnadzoru.

Osoba do kontaktu: artykuł gościnny rosyjskich adwokatów Vatslava Makarskiya i Andreya Ryabinina, kancelaria adwokacja Integrites w Moskwie, Rosja